在上一篇博文中,我们讨论了保护航空航天和国防供应链的重要性。对于与这些行业合作的公司来说,制定强有力的网络安全法规和协议,以确保任何敏感信息都得到适当处理,这也至关重要。
网络安全法规
另一个越来越重要的DFAR监管封面年代网络安全和敏感信息的处理,即DFAR252.204-7012.本规定旨在维护受保护的国防信息和确保报告网络事件。美国国防部2016年修订DFARS提供保障当居住在或通过承包商的内部信息系统或网络。另外还有国防部承包商s是有义务通过 DFARS 70系列 确保所有分包商满足网络安全要求的法规。这意味着分包商必须符合NIST SP 800-171和新兴网络安全成熟度模型认证规定(CMMC)在《行动计划》上取得足够进展和里程碑(POA&Ms),并有他们的目前的评估结果公布在政府's 供应商绩效风险体系 (spr)。
T国防部发布了网络安全成熟度模型认证指令2020年由于日益增长的需求来改善供应链中受控非机密信息(CUI)的保护。的 CMMC程序包含五个成熟度级别:
CMMC一级
- 满足保护联邦合同信息(FCI)的基本要求:
- 最新的杀毒软件应用
- 强密码
- 未经授权的第三方保护年代
- FCI不打算公开发布。
- 加强网络安全防御所需的最小努力。
CMMC级别2
- 介绍受控非机密信息(CUI)。
- 标准的网络安全实践、政策和战略计划。
- NIST SP 800-171中规定的安全要求的主要子集。
- 55岁的新实践总共72个练习。
CMMC三级
- 良好的网络卫生和必要的控制以保护CUI。
- 根据其网络安全政策持续审查所有活动。
- NIST SP 800-171和其他类似标准中规定的所有要求。
- 130个需要的安全控制,分为17个领域。
CMMC 4级和5级
- 解决高级持续威胁(APTs)使用的不断变化的策略、技术和程序。
- 主动的网络安全计划和标准化流程,以实现整个组织的一致性。
- 171个安全控制,分成17个域。
国防部开发了CMMC框架来评估和改善网络安全态势在所有的层面供应链。根据一个特定的业务它们在链中的位置决定了which CMMC级别为适合他们。
来确保最终产品符合要求政府法规和客户需求,这些和其他必须严格遵守标准整个供应链和在整个生产过程中年代.如上所示这个范围从原材料到供应商选择和监控。年代tringent控制,最新的文档和非常高效。监督是确保遵从的关键。没有坚持这些标准法规关键数据五月被误解或更糟;是泄漏艾德向未经授权的人员或国家。
与所有认证和合规一样,这是有成本的符合网络安全成熟度模型认证.对于中小企业,所有权的总成本为CMMC包括:
- 项目开发与管理
- 技术与工程实施
- 审计和认证
各层次的成本和它们每年都会发生的事件为中小企业如下表所示:
**评估费用包括承包商对评估前准备、实际评估和任何评估后工作的支持。这些成本还包括进行CMMC评估的潜在C3PAO成本的估计,包括支持评估前准备、实际评估和评估后工作的劳动力,以及差旅成本。*国防联邦收购法规补充:评估承包商实施网络安全要求(DFARS案例2019-D041)
表的Ignyte保证平台
除了强大的供应链和网络安全法规,航空航天和国防工业获得Nadcap认证也至关重要。我们的下一篇博客将讲述Nadcap兼容意味着什么,以及Nadcap为与这些行业合作的公司所涵盖的内容。
本博客摘自我们的白皮书《航空航天和国防认证与法规的关键本质》。点击在这里下载免费白皮书!
点击下面浏览更多的航空航天和国防内容。